Capita selecta Informatiekunde/student contributions/Wachtwoorden

Uit Werkplaats
< Capita selecta Informatiekunde‎ | student contributions
Versie door Martijn Speksnijder (overleg | bijdragen) op 19 jan 2010 om 20:07 (Relevantie met gastcollege's)
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Ga naar: navigatie, zoeken

link presentatie: Bestand:Presentatie.pdf

Onthouden van wachtwoorden

Lead

Email-account gekraakt, hyves-account gekraakt en internetbankrekening geplunderd. Allemaal omdat mensen hetzelfde simpele wachtwoord gebruiken voor verschillende internet-diensten. Moeilijke wachtwoorden zijn een mogelijke oplossing, maar die vergeet je. Je hebt toch een veilig wachtwoord nodig. Wat is de gulden middenweg?

Probleemschets

Wachtwoorden, je gebruikt ze voor toegang tot je computer en je accounts op internet zoals je MSN-account, online bankieren en om je website mee bij te werken. Je hebt er weinig fantasie voor nodig om te bedenken wat er kan gebeuren als je wachtwoord in verkeerde handen valt: anderen kunnen in je MSN-account en met anderen chatten onder je naam, kwaadwillende plunderen je bankrekening of creditcard, of je website wordt gehackt. Het advies luidt al snel, verzin een sterk wachtwoord zodat deze niet te kraken is. Er is alleen een nadeel, een zwak wachtwoord is beter te onthouden. Zwakke wachtwoorden zijn, wachtwoorden die te kort zijn, gebaseerd op woorden of met betrekking tot persoonlijke informatie van de gebruiker[1]. Om informatie te beveiligen moeten daarom ook steeds ingewikkelder wachtwoorden bedacht worden. Een eenvoudig wachtwoord is door een ander makkelijk te kraken. Een voornaam als wachtwoord is voor een kwaadwillende niet moeilijk om te bedenken. Dit geldt ook voor de naam van je kind of van je huisdier.

Safeboot-cartoon.gif


Veel internetters gebruiken voor alle toepassingen hetzelfde wachtwoord. Dit is natuurlijk erg makkelijk te onthouden, maar de meeste mensen hebben geen idee hoe gevaarlijk het is. Wanneer je bijvoorbeeld je buurman je wachtwoord geeft om even informatie van een website te raadplegen, zorg er dan wel voor dat je buurman niet de beschikking heeft over andere gegevens met hetzelfde wachtwoord.

Tegenwoordig kan je op elke site wel inloggen en op steeds meer sites komt privé gevoelige informatie te staan. Om deze reden stellen systeembeheerders van informatiesystemen steeds hogere eisen aan een wachtwoord. Zo moet een wachtwoord minimaal acht tekens lang zijn of een wachtwoord moet een leesteken, cijfer of hoofdletter bevatten. Op een gegeven moment zijn de wachtwoorden door een normale gebruiker niet meer te onthouden. Is er een alternatief voor het wachtwoord wat beter door de gebruiker te onthouden/gebruiken is?

Bestaande oplossingen

Het gebruik van Biometrische kenmerken als wachtwoord
Bestaande beveiligingsmethoden controleren wachtwoorden, maar niet de mensen die de wachtwoorden opgeven. Biometrie gebruikt persoonskenmerken als toegangssleutel. Daarom is biometrische verificatie veel betrouwbaarder dan de traditionele procedures.
Het gebruik van afbeeldingen als wachtwoord
Een mogelijke oplossing is het gebruik van afbeeldingen. "Mensen lijken geen specifieke beperking te hebben in hoeveel afbeeldingen ze in het langetermijngeheugen kunnen opslaan en afbeeldingen zijn eenvoudig te herinneren." Toch zijn ook grafische wachtwoorden geen 'silver bullet' die alle problemen oplossen, maar een mogelijk alternatief voor veilige authenticatie.

Oplossing onthouden wachtwoord

Op het internet worden veel tips gegeven hoe een gebruiker een moeilijk (sterk) wachtwoord kan maken die wel te onthouden is. Op de site van microsoft staat een stappenplan hoe een gebruiker een wachtwoord kan maken wat makkelijk te onthouden is. In vijf stappen wordt een gebruiker uitgelegd hoe een wachtwoord gemaakt kan worden.

Stap 1
Bedenk een zin die u niet vergeet. Deze zin wordt de basis van het wachtwoord, neem een zin die gemakkelijk te onthouden is, zoals 'Ik woon mijn hele leven in Nijmegen'
Stap 2
Zet de zin om in een wachtwoord. Gebruik de eerste letter van elk woord van de zin die je net bedacht hebt om zo een nieuw wachtwoord te maken. In ons voorbeeld krijgen we dan "iwmhlin". Zoals te zien is is dit een woord dat geen enkele betekenis heeft.
Stap 3
Maak het wachtwoord ingewikkelder door hoofdletters, kleine letters en getallen door elkaar heen te gebruiken, het is ook handig om letters te verwisselen of woorden fout te spellen. Je kan bijvoorbeeld het woord 'drie' vervangen door het getal 3. Zo kan je van alles vervangen en hoe langer de zin is, hoe ingewikkelder het wachtwoord kan zijn.
Stap 4
Neem ten slotte enkele speciale tekens op. Je kan symbolen gebruiken die op letters lijken, woorden combineren of op andere wijze het wachtwoord ingewikkelder maken.
Stap 6
Test je nieuwe wachtwoord met de wachtwoordcontrole.

Literatuuroverzicht

Wetenschappelijke artikelen

J. Alex Halderma, Brent Waters, Edward W. Felten, A convenient method for securely managing passwords, International World Wide Web Conference [| artikel]

Abstract: Computer users are asked to generate, keep secret, and recall an increasing number of passwords for uses including host accounts, email servers, e-commerce sites, and online financial services. Unfortunately, the password entropy that users can comfortably memorize seems insufficient to store unique, secure passwords for all these accounts, and it is likely to remain constant as the number of passwords (and the adversary's computational power) increases into the future. In this paper, we propose a technique that uses a strengthened cryptographic hash function to compute secure passwords for arbitrarily many accounts while requiring the user to memorize only a single short password. This mechanism functions entirely on the client; no server-side changes are needed. Unlike previous approaches, our design is both highly resistant to brute force attacks and nearly stateless, allowing users to retrieve their passwords from any location so long as they can execute our program and remember a short secret. This combination of security and convenience will, we believe, entice users to adopt our scheme. We discuss the construction of our algorithm in detail, compare its strengths and weaknesses to those of related approaches, and present Password Multiplier, an implementation in the form of an extension to the Mozilla Firefox web browser.

Relevantie

Wat het artikel beschrijft, is een mogelijke oplossing voor het wachtwoord-problematiek waarbij gebruikers gedwongen worden om te moeilijke wachtwoorden te nemen. Daardoor is dit artikel ontzettend relevant voor de door onze beschreven probleemstelling. Door gebruik te maken van de oplossing die beschreven wordt in het artikel, hoeven gebruikers alleen nog maar één simpel wachtwoord te onthouden voor het wachtwoord-programma. Hierdoor maakt het niet meer uit hoe moeilijk het wachtwoord is voor gebruik in een organisatie, aangezien de gebruiker alleen het simpele wachtwoord hoeft te onthouden. Om te voorkomen dat iemand achter het simpele wachtwoord voor het wachtwoord-programma komt, zou gebruik gemaakt kunnen worden van biometrische gegevens.

Nieuws artikelen

Nu.nl: Makkelijk je wachtwoorden onthouden [| Artikel] Het is niet echt lastig om een goed wachtwoord te verzinnen. Als je maar weet hoe...

Telegraaf: Miljoenen gebruiken zelfde wachtwoord voor elke website [| artikel] AMSTERDAM - Bijna zestien miljoen Britten gebruiken voor elke website en internetdienst hetzelfde wachtwoord, blijkt uit onderzoek. Een slechte wachtwoordbeveiliging kan volgen experts al snel leiden tot identiteitsdiefstal.

De pers: Twitter verbiedt 370 passwords [| Artikel] Sociale netwerksite Twitter heeft 370 woorden op een zwarte lijst geplaatst. De termen kunnen niet meer worden gebruikt als wachtwoord. Volgens het bedrijf omdat ze 'te voor de hand liggend' zouden zijn.

Security.nl: Microsoft: Wachtwoord met 20 karakters onvoldoende [| Artikel] Wachtwoorden die uit 20 karakters bestaan zijn niet voldoende om aanvallen door hackers af te slaan, zo blijkt uit onderzoek van Microsoft, maar het advies dat de softwaregigant voor het samenstellen van een wachtwoord geeft is op z'n minst dubieus te noemen.

Security.nl: 96% werknemers slordig met wachtwoorden [| Artikel] Slechts 4% van het personeel houdt zich aan het wachtwoordbeleid dat bedrijven stellen, zo blijkt uit onthutsend onderzoek van Amerikaanse en Noorse onderzoekers. De overige werknemers gebruiken hetzelfde wachtwoord voor verschillende systemen, gebruiken woorden die in woordenboeken voorkomen of schrijven hun wachtwoorden op papiertjes die ze naast hun computer leggen.

Nu.nl: Ruim half miljoen mensen waren DigiD code kwijt [| Artikel] DEN HAAG - Ruim een half miljoen Nederlanders waren dit jaar hun inlogcode kwijt voor het DigiD-systeem, de digitale handtekening waarmee bijvoorbeeld de belastingaangifte kan worden verstuurd.

Eigen bijdrage in de toekomst

Het probleem van te zwakke wachtwoorden zal in de toekomst alleen maar groter worden. Computers krijgen immers steeds meer rekenkracht. Te moeilijke wachtwoorden werken ook weer niet. Ze zijn misschien wel veilig qua lengte van het wachtwoord en bevatten vreemde tekens, maar de gebruiker zal het wachtwoord niet kunnen onthouden. Belangrijk is, dat gebruikers niet voor elke service waarbij een wachtwoord nodig is, hetzelfde wachtwoord gebruiken. We willen ook dat het wachtwoord sterk genoeg is en niet snel te kraken is. Op de mens kunnen we niet vertrouwen om voor alle services die hij gebruikt een moeilijk wachtwoord te onthouden. Er zal dus iets in de plaats moeten komen wat voor jou al die moeilijke wachtwoorden maakt en onthoudt. Dit kan een programma zijn op je computer, of zelfs op een smartcard.

Onze bijdrage zal vooral vanuit onze achtergrond gegeven worden. Dit betekent dat we eerst een grondige analyse zullen maken. Er moet met alle betrokken partijen gepraat worden, zodat er een goede afstemming tussen veiligheid en bruikbaarheid komt. Bijv. cryptologen kunnen ons vertellen wat een onkraakbaar wachtwoord is en hoe die samengesteld dient te worden; gebruikers kunnen ons helpen bij het ontwerpen van een veilig programma wat nog wel steeds bruikbaar is. en of ze met een smartcard kunnen omgaan. Nadat de analyse is gemaakt kunnen we met een heel pakket van eisen komen waar het wachtwoordprogramma aan moet voldoen. Nadat het wachtwoordprogramma af is, kunnen we helpen bij de het testen van de usability van het programma. Het belangrijkste is, dat iedereen het programma moet kunnen gebruiken, jonge en oude mensen.


Het onderzoek dat gepleegd dient te worden zal zich op twee takken splitsten:

  • Hoe maak je een goed wachtwoord?

Er moet onderzoek gedaan worden naar een wachtwoordgenerator die zeer moeilijk te kraken zijn. Aangezien het wachtwoordprogramma door vele verschillende soorten gebruikers gebruikt zal worden, zal niet altijd evenveel computerkracht beschikbaar zijn. Toch zal de gebruiker snel een veilig wachtwoord willen hebben. Er zijn vele manieren hoe dit probleem opgelost kan worden, maar wat de beste mogelijkheid is, moet onderzocht worden.


  • Veiligheid versus bruikbaarheid

In deze tijd van webapplicaties zal de gebruiker ook gebruik willen maken van zijn webapplicaties op openbare computers. Het wachtwoordprogramma dient hiervoor mobiel te zijn, bijv. op een smartcard. Je hebt immers op die openbare computer ook je wachtwoorden nodig om op je webmailapplicatie in te loggen. Dit betekent dat het object waar het wachtwoordprogramma op staat gestolen kan worden. Of het kan digitaal worden aangevallen wanneer het op de openbare computer gebruikt wordt. Om ongeautoriseerd gebruik tegen te gaan dient een goede authenticatie van de gebruiker aanwezig te zijn. Dit mag niet te streng zijn, zoals een lang wachtwoord, want dan zijn we terug bij af. De oplossing zou biometrische beveiliging kunnen zijn, zoals een vingerafdruk. Hier dient meer onderzoek naar te komen..

Relevantie met gastcollege's

Cybercrime door Bart Jacobs in Blok A: In dit blok werd behandelt hoe cyber criminelen wachtwoorden en identiteit van mensen proberen te stelen. Dit heeft relevantie met ons onderwerp omdat het hier ook over het geheim houden van wachtwoorden gaat.

Bronnen

  • [1] Prof. Steven Furnell, "An assessment of website password practices", computers & security, vol 26, Pages 445 – 451, 2007
  • [2] Keuze van wachtwoord [1]